◆胡傳力 李卓群

基于信息安全的網(wǎng)絡(luò)隔離技術(shù)研究與應(yīng)用

◆胡傳力1李卓群2

（1.國家電投集團(tuán)江西電力有限公司新昌發(fā)電分公司 江西 330117； 2.華東交通大學(xué)交通運(yùn)輸學(xué)院 江西 330013）

隨著國際互聯(lián)網(wǎng)安全態(tài)勢(shì)日趨嚴(yán)峻，互聯(lián)網(wǎng)攻擊手段越來越隱蔽、攻擊技術(shù)越來越高級(jí)，甚至成為商業(yè)不正當(dāng)競(jìng)爭(zhēng)手段以及國家網(wǎng)絡(luò)武器，已對(duì)國家、企業(yè)信息安全構(gòu)成了嚴(yán)重威脅。在發(fā)展信息化的同時(shí)，不斷加強(qiáng)信息安全保障工作。本文從抵御互聯(lián)網(wǎng)威脅，保護(hù)敏感信息安全，實(shí)現(xiàn)網(wǎng)絡(luò)隔離、加強(qiáng)敏感信息保護(hù)的工作要求出發(fā)，以新昌電廠為例，闡述了網(wǎng)絡(luò)隔離技術(shù)，供讀者參考。

網(wǎng)絡(luò)隔離；信息安全；物理隔離

1 項(xiàng)目背景

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，近年來，國際互聯(lián)網(wǎng)安全態(tài)勢(shì)日趨嚴(yán)峻，互聯(lián)網(wǎng)攻擊手段越來越隱蔽、攻擊技術(shù)越來越高級(jí)，甚至成為商業(yè)不正當(dāng)競(jìng)爭(zhēng)手段以及國家網(wǎng)絡(luò)武器，已對(duì)國家、企業(yè)信息安全構(gòu)成了嚴(yán)重威脅[1,2]。在發(fā)展信息化的同時(shí)，需要加強(qiáng)信息安全保障工作。應(yīng)分離信息內(nèi)網(wǎng)與信息外網(wǎng)，各單位信息內(nèi)網(wǎng)斷開與互聯(lián)網(wǎng)連接、通過廣域網(wǎng)系統(tǒng)構(gòu)成整體信息內(nèi)網(wǎng)，信息內(nèi)網(wǎng)、外網(wǎng)終端專用，采用安全隔離系統(tǒng)進(jìn)行內(nèi)、外網(wǎng)間必要的數(shù)據(jù)交換，同步實(shí)施信息安全綜合防護(hù)[3]。

2 現(xiàn)狀

新昌電廠單獨(dú)設(shè)有互聯(lián)網(wǎng)出口，用于員工訪問互聯(lián)網(wǎng)以及部署有電子郵件、遠(yuǎn)程辦公等互聯(lián)網(wǎng)應(yīng)用。建廠時(shí)僅在辦公樓部署了無線網(wǎng)絡(luò)，用于移動(dòng)設(shè)備（筆記本、手機(jī)、PAD等移動(dòng)終端）辦公接入。

新昌電廠信息網(wǎng)絡(luò)由核心交換區(qū)、服務(wù)器區(qū)、因特網(wǎng)接入?yún)^(qū)、廣域網(wǎng)接入?yún)^(qū)、上網(wǎng)用戶接入?yún)^(qū)、無線覆蓋管理區(qū)六個(gè)區(qū)域組成。核心交換機(jī)采用兩臺(tái)Cisco6513。兩臺(tái)核心交換機(jī)之間通過光纖鏈路捆綁，達(dá)到雙萬兆的光纖互連。每臺(tái)配置單引擎、雙電源、48千兆電和1塊24千兆光接口模塊（現(xiàn)在一臺(tái)核心設(shè)備已出現(xiàn)硬件故障處于宕機(jī)狀態(tài)）。上網(wǎng)用戶接入?yún)^(qū)主要由生產(chǎn)辦公樓、輸煤綜合樓、綜合檢修樓、集控樓、化水車間、煤采制化綜合樓、翻車機(jī)室組成。各樓棟交換機(jī)通過雙千兆光纖連接主備核心。生產(chǎn)辦公樓交換機(jī)配置POE功能用于生產(chǎn)辦公樓的無線AP的POE網(wǎng)絡(luò)接入。

部署思科的1臺(tái)無線控制器放置在信息機(jī)房，與核心交換機(jī)之間采用VLAN Trunk進(jìn)行連接；而樓層中的AP通過TUNNEL（IPinIP隧道）方式與交換機(jī)相連，共部署16個(gè)室內(nèi)型Fit AP。

3 技術(shù)目標(biāo)

3.1 技術(shù)方案設(shè)計(jì)需求

（1）信息內(nèi)、外網(wǎng)網(wǎng)絡(luò)隔離

根據(jù)現(xiàn)狀，將現(xiàn)有的辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)斷開，構(gòu)建各三級(jí)單位信息內(nèi)網(wǎng)；利舊無線局域網(wǎng)，與互聯(lián)網(wǎng)聯(lián)通，形成信息外網(wǎng)?，F(xiàn)有臺(tái)式終端作為信息內(nèi)網(wǎng)終端使用，信息外網(wǎng)使用筆記本電腦或臺(tái)式終端。

（2）單位信息內(nèi)網(wǎng)改造

整合優(yōu)化信息內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，按功能劃分網(wǎng)絡(luò)安全分區(qū)，強(qiáng)化網(wǎng)絡(luò)區(qū)域邊界控制，完善防護(hù)策略。

（3）單位信息外網(wǎng)改造

利用公司現(xiàn)有互聯(lián)網(wǎng)出口，新建一套無線WIFI網(wǎng)絡(luò)，構(gòu)建信息外網(wǎng)，按功能劃分網(wǎng)絡(luò)安全分區(qū)，完善防護(hù)策略。

3.2 信息外網(wǎng)無線WIFI網(wǎng)絡(luò)建設(shè)

根據(jù)網(wǎng)絡(luò)現(xiàn)狀，新增核心交換機(jī)作為外網(wǎng)核心交換，以“AC+AP+認(rèn)證”的架構(gòu)設(shè)計(jì)、建設(shè)無線網(wǎng)絡(luò)。新建網(wǎng)絡(luò)系統(tǒng)應(yīng)具備可管理性、安全性、穩(wěn)定性。

無線控制器AC采用冗余架構(gòu)，支持智能負(fù)載均衡、無線入侵檢測(cè)、非法AP識(shí)別等安全管理技術(shù)；AP支持POE供電，無須單獨(dú)配備電源；支持DHCP自動(dòng)獲取地址，并自動(dòng)注冊(cè)到無線控制器中，降低無線系統(tǒng)的運(yùn)維難度；系統(tǒng)應(yīng)支持無線漫游，滿足移動(dòng)辦公的需求；系統(tǒng)應(yīng)具備AP故障自動(dòng)修復(fù)功能，在某個(gè)AP出現(xiàn)故障時(shí)，周圍的其他AP會(huì)自動(dòng)調(diào)整功率，對(duì)該部分區(qū)域進(jìn)行重新的信號(hào)覆蓋，保證信號(hào)的良好覆蓋；系統(tǒng)應(yīng)具備多種認(rèn)證方式供用戶選擇，包括MAC地址認(rèn)證、802.1x認(rèn)證、portal認(rèn)證、mac+portal認(rèn)證等，無線認(rèn)證系統(tǒng)須為軟硬件一體設(shè)備。

4 技術(shù)方案

圖1為改造前的全廠網(wǎng)絡(luò)拓?fù)鋱D。

圖1 改造前的全廠網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)安全總體隔離技術(shù)方案：

按照建設(shè)方案要求，首先在信息內(nèi)、外網(wǎng)均根據(jù)安全需求和防護(hù)等級(jí)進(jìn)行了安全域劃分，在防護(hù)等級(jí)較高的外聯(lián)區(qū)、DMZ區(qū)和數(shù)據(jù)交換區(qū)新增部署防火墻，對(duì)區(qū)域間的訪問進(jìn)行嚴(yán)格控制，防止非授權(quán)訪問。

由于廠區(qū)原信息點(diǎn)的布線已經(jīng)無冗余，大部分樓棟光纜已無冗余，本次雙網(wǎng)隔離建設(shè)必須覆蓋各主要樓棟的光纜、AP布線及無線覆蓋等工作，涉及集控、檢修、燃運(yùn)集控、采制化樓、辦公樓、除灰控制室等各樓，工作量較大。

圖2 總體方案

（1）信息內(nèi)網(wǎng)建設(shè)

將信息內(nèi)網(wǎng)分為核心區(qū)、服務(wù)器區(qū)、終端區(qū)、廣域網(wǎng)接入?yún)^(qū)等區(qū)域，通過在防火墻上設(shè)置相應(yīng)的網(wǎng)絡(luò)策略進(jìn)行各區(qū)域的網(wǎng)絡(luò)隔離防護(hù)。此廣域網(wǎng)防火墻利舊。

各樓棟接入交換機(jī)采用利舊原則，不在本次項(xiàng)目中進(jìn)行調(diào)整。

信息內(nèi)網(wǎng)終端采用利舊的方式，原有網(wǎng)絡(luò)內(nèi)的電腦終端全部放置于內(nèi)網(wǎng)使用。

（2）信息外網(wǎng)建設(shè)

按照SSL VPN移動(dòng)接入的需求，SSL VPN網(wǎng)關(guān)采用原有設(shè)備利舊的方式部署。

信息外網(wǎng)采用無線建設(shè)方案，本著節(jié)約的原則，可以將之前的無線設(shè)備移植到信息外網(wǎng)中。AC控制器旁掛于信息外網(wǎng)的核心交換機(jī)上。

為了簡(jiǎn)化網(wǎng)絡(luò)，信息外網(wǎng)結(jié)構(gòu)擯棄傳統(tǒng)的三層架構(gòu)，采用兩層架構(gòu)——接入層和核心層。核心層設(shè)備將新采購2臺(tái)高性能、高可靠性框式交換機(jī)，同時(shí)為了簡(jiǎn)化管理、增強(qiáng)網(wǎng)絡(luò)的可靠性，兩臺(tái)核心交換機(jī)之間采用橫向虛擬化技術(shù)。同時(shí)，也需要采購一定數(shù)量的接入交換機(jī)，由于接入交換機(jī)要連接AP，因此此交換機(jī)需要支持POE功能。由于終端較多、分布位置較為分散，導(dǎo)致接入交換機(jī)較多，為了簡(jiǎn)化管理，采用縱向虛擬化技術(shù)，接入交換機(jī)作為核心交換機(jī)的遠(yuǎn)端接口卡，核心交換機(jī)與接入交換機(jī)可以虛擬化為一臺(tái)交換機(jī)做統(tǒng)一管理。

信息外網(wǎng)是一個(gè)安全性要求不太高的網(wǎng)絡(luò)環(huán)境，因此終端建設(shè)可以采用傳統(tǒng)的PC機(jī)方式?？紤]到電子郵件業(yè)務(wù)部署在信息外網(wǎng)，員工都有外網(wǎng)郵件收發(fā)的需求，為員工分配獨(dú)立的信息外網(wǎng)PC機(jī)。

（3）應(yīng)用系統(tǒng)部署

信息外網(wǎng)在整體建設(shè)完成后，在外網(wǎng)單獨(dú)設(shè)立服務(wù)器DMZ區(qū)，所有應(yīng)用系統(tǒng)均部署在此區(qū)域內(nèi)，原郵件系統(tǒng)遷移至外網(wǎng)使用。

（4）信息內(nèi)網(wǎng)安全防護(hù)

分離后的信息內(nèi)網(wǎng)依據(jù)建設(shè)管理規(guī)范要求將網(wǎng)絡(luò)進(jìn)行區(qū)域分域，最終劃分為內(nèi)網(wǎng)終端接入?yún)^(qū)、內(nèi)網(wǎng)應(yīng)用系統(tǒng)區(qū)。

5 結(jié)束語

此次網(wǎng)絡(luò)安全隔離重點(diǎn)在于“信息內(nèi)網(wǎng)的安全加固、外網(wǎng)的安全建設(shè)、內(nèi)外網(wǎng)的業(yè)務(wù)交互”三個(gè)方面。即在安全隔離的基礎(chǔ)上，保留電子郵件、生產(chǎn)管理、移動(dòng)辦公、廠內(nèi)點(diǎn)檢系統(tǒng)、遠(yuǎn)程辦公應(yīng)用，同時(shí)兼顧了第三方的接入服務(wù)，通過相對(duì)的安全隔離，能夠確保公司的辦公效率與應(yīng)用。

[1]趙毅.終端設(shè)備物理隔離技術(shù)策略研究[J].計(jì)算機(jī)與現(xiàn)代化，2013.

[2]李之奇.采用網(wǎng)絡(luò)物理隔離技術(shù)加強(qiáng)計(jì)算機(jī)信息系統(tǒng)安全[J].世界有色金屬, 2011.

[3]牛長(zhǎng)喜，劉堅(jiān)，張玲等.SDN網(wǎng)絡(luò)隔離性檢測(cè)技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.